Güvenlik uzmanları yeni teknolojilerin sağladığı fırsatlar ile birlikte güvenlik risklerini dengelemenin birçok yolu olduğunu söylüyor.
Söz konusu şirket bilgilerini korumak olduğunu bir ayağı iskelede bir ayağı da kayığın içinde bir IT liderini gözünüzün önüne getirin. Şimdi de kayığın uzaklara doğru süzüldüğünü seyredin. Mobil, bulut ve büyük veri teknolojileri işletmeleri keşfedilmemiş sulara sürüklemekte ve veri uç noktalarını IT departmanlarının kontrolünden çok daha ileriyi götürmektedir.
Diğer yandan altyapı tehditlerin yenilerini olduğu bırakırken mevcut tehditleri ile de zar zor başa çıkabiliyor. IT departmanları genellikle bu konuda artan güvenlik ihtiyaçlarının üstesinden gelmek için yeterli insan gücüne ya da becerilerine sahip olmadığında da açıkçası geriliyorlar.
Bir dizi kurumsal güvenlik ihlalleri bu gerginliği bariz olarak gösteriyor. 2013 yılında Verizon yıllık güvenlik araştırma raporunda, dünya çapında 63.000’den fazla güvenlik ihlali olayı ve 1367’sinin doğrulanmış veri ihlalleri yaşandığını rapor etmişti. Bu yılın ilk yarısında Kimlik Hırsızlığı Kaynak Merkezi verilerine göre 395 veri ihlali düzenleyicilere rapor edildi.
IT güvenlik ürünleri ve hizmetleri sağlayıcısı olan Accuvant’ın kurumsal güvenlik ve risk başkan yardımcısı Chris Gray faaliyetlerinin sınırlarını darmadağın ettiklerini söylüyor. Aynı zamanda dış kaynak kullandıklarını, daha önce hiç yapmadıkları seviyelerde hareketlilik ve alternatif erişim sağladıklarını sözlerine ekliyor. Sonuç olarak bütün her şeyi ortaya çıkarıyor ve hepsini dağıtıyoruz. Bir yeri izlemek yerine yüzleştikleri problemlerin daha fazla büyümesini sağlayan 50 yer izlediklerini ifade ediyor.
Durum o kadar da vahim değil. Verizon tarafından yapılan analiz, bu ihlallerin % 90’dan fazlası sadece dokuz ayrı güvenlik kalıpları içine girdiği bilgisini veriyor. Güvenlik uzmanları yeni teknolojilerin sağladığı fırsatlar ile birlikte güvenlik risklerini dengelemenin birçok yolu olduğunu söylüyor. İşte bu yıl dikkate değer beş adet veri güvenliği teknolojisi.
- Bitiş noktası algılama ve tepki çözümleri
Kaliforniya merkezli güvenlik sağlayıcı RedSeal Networks CTO’su Mike Lloyd kontrolü tekrar ele geçirmek için şirketler güvenlik ihlallerini tespit eden, doğrulayan ve hatta tahmin eden otomatik araçlar aradıklarını belirtiyor. Otomasyon ihtiyacının personel sayısının az ve yetenekli kişilere sahip olamadıkları zaman ortaya çıktığını ekliyor Lloyd.
Bitiş noktası tehdit algılama ve tepki araçları tabletler, telefonlar ve dizüstü bilgisayarlar gibi uç noktalara olan gelişmiş tehditlere karşı sürekli koruma ihtiyacını karşılayabilir. Bu araçlar merkezi bir veri tabanında uç noktaları ve ağları ve veri depolarını izlemektedir. Analiz araçları sonra veri tabanını sürekli olarak araştırmak için kullanılıyor.
Nashville merkezli sigorta sağlayıcısı Cigna-Health Spring mobil cihazların güvenliğini izleme şeklinde pro aktif olmak istiyor. IT güvenlik müdürü Antony Mannarino, Health Spring’in çalışanlarına sağladığı IPad ve IPhone’ların sayısının şirkette daha fazla online uygulama ve alanda daha fazla raporlama yeteneği sunduğu için gelecek iki yıl içinde iki katına çıkmasının beklendiğini belirtiyor.
Health Spring çalışanların mobil cihazlarını izlemek için Absolute Computrace yazılımını kullanıyor. Bu yazılımı kullanılmasının avantajı; cihazda ne olduğunu bilmek ve onu uzaktan silebilme imkânı sunması. Mannarino bu yazılımın Health Spring’e cihazları gerçek zamanlı kontrol etme imkânı sağladığını belirtiyor. “Faaliyetlerimizi yaptığımız bölgelerde bunu gerçekleştirebiliyoruz. Eğer bir cihaz bölgesinin dışına çıkarsa bu bizi uyarıyor ve eksik olduğu fark edilmeden buna karşı pro aktif bir önlem alabiliyoruz.” diye ekliyor Mannarino.
- Korumalı alan
IDC firmasında bir araştırma analisti Pete Lindstrom “Kaçınılmaz olarak bazı kötü amaçlı hackerlar güvenlik çemberlerinin üstesinden geliyor. Şirketlerin güvenlik ihlali olduğunda bilgilerinin güvenli kalmasını sağlamak için yapmaları gereken en kolay işlerden biri ağ cihazında tespit edilen kötü amaçlı yazılımı otomatik olarak izole eden bir koruma alanı eklemektir” diyor. Kötü amaçlı yazılım izole edilip aktif sistemden uzaklaştırıldığı zaman koruma alanı uygulamayı harekete geçirecek ve potansiyel etkisini analiz edecek. Bir program çalıştırıldıktan sonra aktivitelerin sonuçlarını izleme ve zararlıları arama fikri başarı için çok önemli hale geliyor.
“FireEye gibi satıcılardan temin edilen özel korumalı alan araçları işini yapar fakat bu size pahalıya patlayabilir” diyor Lindstrom. Ancak Lindstorm diğer güvenlik satıcılarının mevcut ürünlere korumalı alan özellikleri eklediğini söylüyor ve ekliyor: “Anti virüs programlarının bunlara sahip olmaması olağan değildir ve ağ güvenlik yazılımlarının çoğu koruma alanı yeteneğine sahiptirler.”
Cigna-HealthSpring FireEye’nın korumalı alan uygulamasını kullanıyor. Mannarino, bu uygulamaların bir tehditi görebildiklerini ve sandbox ortamında ne yapabildiğini görmek için bunu çalıştırdıklarını ve bunu durdurabileceklerini söylüyor. Eğer araç Çin’de bulunan bir siteye erişim sağlamaya çalışıyorsa Web filtreleme teknolojimizin içine giriyor ve bu URL’lerin üzerine engeller koyuyoruz. Fakat birçok şirket için bunun zor kısmının araç tarafından ortaya çıkarılan sonuçları anlamak ve analiz etmek olabilir. Fakat Lindstrom sonuçların anlamlı kılacak hizmetler olduğunu söylüyor. Bu gibi hizmetleri sunan şirketler arasında Data Hero, Clear Story bulunuyor. Bununla birlikte Lindstorm sandbox özelliğinin önümüzdeki 2 veya 3 yıl içerisinde güvenlik ürünlerinde standart bir fiyatı olacağını tahmininde bulunuyor.
- Güvenlik Analizleri
Çoğu güvenlik ekibi sayısız uç noktadan ve güvenlik ürünlerinde gelen zengin bir bilgi ağına sahiptir. Problem hareket etme ve karar verme yeteneklerinde eksiklikler olmasıdır. Analitik, güvenlik özelliklerinin bir mihenk taşı haline gelmektedir. Garntner daha da ileri giderek tüm etkili güvenlik koruma platformlarının bir çekirdek yetenek olarak özel etki alanına gömülü bir analitik içereceğini tahmini yapıyor. Gartner’a göre 2020 yılında işletmelerin %40’ı olay sonrası analizi desteklemek adına verilerin izlenmesi için güvenlik ve veri ambarlarına sahip olacaklarının bilgisi veriyor. Zamanla diğer bilgiler ile birleşen bu veriler normal aktiviteler için bir temel bir oluşturacak ve herhangi bir sapma olduğunda bunu ortaya çıkaracak.
Florida merkezli Amerikan’ın üçüncü büyük sağlık merkezi, hastalarının ve şirketin bilgilerini korumak için çok büyük bir güvenlik teknolojisi sahaya yerleştiriyor. Fakat IT genel müdür yardımcısı Ronaldo Montman hala büyük resmi göremiyor. “Biz yeni nesil güvenlik duvarları, en iyi yetkisiz giriş önleme sistemleri, veri kaybı önleme sistemleri ve kimlik yönetimi çözümlerine sahibiz fakat onlar silolarda faaliyet gösteriyor” diye ekliyor Ronaldo Montmann. Kapsamlı bir sisteme ek olarak, gelecekteki güvenlik açıklarını tahmin edebilme yeteneğine sahip olmak istiyor Montmann.
“Finansal ve klinik sistemlerimiz için satın aldığımız büyük analitik yazılımlara sahip olup olamayacağımızı görmeye çalışıyoruz aynı zamanda olaylara bakmaya ve anlamlı bir şekilde bu olayları ilişkilendirmeye gayret gösteriyoruz böylece bunların birbirleriyle nasıl ilişki içinde olduğunu tahmin ediyor ve anlıyoruz.” diyor Montman. Fakat bu, hastane sisteminin desteklediği bütün teknoloji ayrıntılarını anlayabilecek üst düzey çalışan bir grup kişiyi gerektiriyor ve aynı zamanda bu kişiler birbirleriyle işbirliği içinde ve proaktif olarak çalışıyor.
Bir protokol algoritması sunucu, switch ve iş istasyonu seviyelerindeki olay günlüklerine bakıyor ve bilgi topluyor. Montmann bunu “tipik bir insanın yapamayacağı bir şey ” olarak tanımlıyor. Montmann bu verinin ağdaki sorunları ilişkilendirmek için analiz edildiğini ve ağda neler olduğu hakkında bilgi sahibi olmak için bir ortam tasarlamaya çalıştıklarını ve bu garip davranışların bunun kötü amaçlı yazılım mı yoksa bir hacker mı olduğunu anlamamızı sağladığını belirtiyor. Montman ayrıca 2015’in ilk çeyreğinde bir analitik takıma sahip olmayı hedeflediklerini ifade ediyor.
- Bulut güvenlik ağ geçitleri
Ağustos ayında Wyoming eyaleti bilgi işleme merkezlerinin çoğunu durdurmayı ve fiziksel ekipmanlarını ticari ortak yerleşim birimlerine taşımayı planladıklarını açıkladı. Bu barındırma merkezlerinde kendi fiziksel sunucuları yönetmeye devam edecek ancak bu dış kaynak adımı devletin işlem kaynaklarını bulut servislerine taşıyacak daha geniş bir planın parçası. Şüphesiz ki buluttaki bilgileri koruma söz konusu olduğunda güvenlik akılda kalan bir meseledir.
Bulut kullanan şirketler bulut güvenlik ağ geçitlerini göz önünde bulundurması gerekiyor. Bu, şirket için bulut tabanlı güvenlik politika uygulama noktaları, bulut hizmet müşterileri ve bulut servis sağlayıcıları arasında yer alıyor.
Lindstrom bunun gerçekten kişilerin bulut mimarisine nasıl erişim sağlayabileceği ve kontrol edeceği geleceğin bir dalgası olduğunu söylüyor. Bulutta birleşmiş tehdit yöneticileri gibi çalışarak bulut güvenlik ağ geçitleri, erişim güvenliğini ya da politika uygulamasını sağlar, ancak onlar arka uç veriyi kaybı işlevi gören, analitikleri kullanarak aktiviteleri izler, veri önleme işlevselliği ile ilgilenir, iletişim şifrelemesi, yapılandırılmış ve yapılandırılmamış veri şifrelemesi uygular. Bulut güvenlik ağ geçitleri kenar tabanlı uygulamalar olarak bulut içine dağıtılabilir. Bu görünürlük kaybı probleminin belirlenmesi ve bulut içine girişin kontrolü için faydalı bir yoldur.
- Uyarlamalı erişim kontrolü
Veri kilitleme ihtiyacına rağmen IT departmanlarının aynı zamanda mobil cihazlara geniş bir yelpazede kurumsal sistemlere erişmesine izin vererek operasyonlarını desteklemesi gerekiyor. Bilgiyi güvende tutmak için Gartner içerik bilincinde erişim kontrolünün bir formu olan uyarlamalı erişim kontrolünü kullanmayı öneriyor. Gartner’a göre içerik bilinci, mevcut durumları yansıtmaya kimin erişimi olacağı hakkındaki karar anlamına gelirken, dinamik risk azaltma ise erişimin kısıtlandığı yerlerde bile erişimin sağlanması manasına geliyor. Bu tür erişim yönetim mimarisi şirketlere herhangi bir yerden herhangi bir cihazdan erişim imkanı sağlamakta ve kullanıcının risk profiline bağlı kalarak çeşitli kurumsal sistemlere farklı erişim seviyesi kurmayı mümkün kılıyor. Gartner makine tarafından okunabilir tehdit istihbarat servislerini kullanan diğer güvenlik teknolojileri ve tekniklerini öneriyor. Araştırma firmalarının güvenlik uzmanlarına önerdiği diğer teknolojiler yazılım tanımlı güvenlik fonksiyonlarını içeriyor.
Güvenlik teknolojilerinin seçimi
Bu güncel teknolojilerin ne zaman uygulanıp uygulanmayacağı kararı şirketin yapısına ve bilginin miktarına bağlıdır. Veriniz nasıl kullanılacak, kimin erişim sağlaması gerekiyor ve bütçeniz nedir? Ve bunları personelin desteklemesi gerekiyor. Örneğin, “güvenlik analistlerinin bu konuda bazı iyi çözümleri vardır, ancak aynı zamanda onu yönetmek için de birden fazla zeki insana ihtiyaç olur” diyor Brown. Günün sonunda ise bunlar tamamen riskleri dengeleme ve imkânları geliştirme ile alakalı olduğu ortaya çıkar. “Her zaman kabul edilebilir bir risk seviyesi bulunur, böylece bir konu üzerinde anlaşma her zaman çok sayıda tarafı ihtiyacını gerektirir. Bu taraflar, liderlik, insan kaynakları ve işletmedeki diğer kişilerdir.” diyor Mannarino. Lindstrom da IT’deki risklerin kesinlikle arttığını kabul ediyor ve bunun gelişen ekonominin sonuçları olduğunu söylüyor.
“Eğer teknoloji risk yönetimine ekonomik bir yaklaşım gösterirseniz ticarette değiş tokuşu yaşarsınız.” diyor Lindstrom ve ekliyor: “Bir çok kişi bunu başarılı bir şekilde yapıyor. Riskin doğasını özümseyin ,onu kendisinin yönetmesine izin vermeyin, onu siz yönetin”